Сегодня все актуальнее перед банками встает задача по снижению риска мошенничества. С какими вызовами сталкиваются банки в борьбе с мошенничеством? Какие угрозы несут действия персонала банка? Как реагировать на действия мошенников?
Эти и другие вопросы нам согласилась прокомментировать независимый эксперт - Разина Ольга Михайловна, к.э.н., член СРО аудиторов «Содружество», член «Института внутренних аудиторов», имеющая многолетнюю практику работы в области внутреннего аудита и контроля.
Вопрос. Сегодня все чаще в СМИ обсуждаются проблемы телефонного мошенничества, тысячи пострадавших клиентов ежедневно обращаются в правоохранительные органы и банки пытаясь вернуть свои средства. При этом «категории» пострадавших клиентов существенно отличаются, это могут быть как «крупные чиновники и бизнесмены», «vip-персоны», так и обычные «пенсионеры». Как вы считаете, есть ли вина банков в этих проблемах, кто стоит за «мошенниками» действующими от имени банков?
Эта проблема действительно сегодня крайне актуальная и достаточно «болезненна» для банков и всей финансовой системы. Риск мошенничества, как разновидность операционного риска – связан как с внутренними, так и с внешними «угрозами». Для распознавания внешних угроз – банки зачастую используют собственные системы фрод-мониторинга, отражающие внешние атаки злоумышленников, связанные с намеренным вмешательством в операционную инфраструктуру. А вот для выявления внутренних угроз, только арсенала собственных «систем» распознавания фрода – недостаточно. Я поясню – в основе внутреннего мошенничества, лежат действия собственного персонала, провоцирующего такие риски, как утечка данных по клиентам, списание средств со счетов клиентов, фальсификация данных по клиентам, сговор для совершения мошеннических действий и пр. Отвечая на Ваш вопрос, хочу отметить, что сложнее всего в банковской деятельности противостоять именно внутреннему мошенничеству, поскольку оно напрямую затрагивает информационную безопасность банков и наносит колоссальный ущерб через действия собственного персонала. Зачастую именно действия персонала банков – работников операционных и кассовых офисов, менеджеров среднего звена, сотрудников безопасности и пр. провоцируют «утечку персональных данных» по клиентам. Для читателя я поясню, что к персональным данным лица, относится любая информация, которая позволяет идентифицировать его личность (Ф.И.О., номер телефона, домашний адрес, место жительства или работы и пр.)
Впоследствии эта информация попадает в руки реальных «злоумышленников», которые используя инструменты «социальной инженерии» - манипулируют клиентами банков. Иногда, в роли «злоумышленников» выступают сами работники банков, к сожалению – такие случаи тоже встречаются в практике. Если мошеннику известны персональные данные, то он обладает всей информацией о клиенте, фактически может составить его «психологический портрет» - возраст, род занятий, активность по счетам, место работы и проживания. Именно поэтому попадаясь в руки «телефонных мошенников», клиенты не сразу могут их распознать. Злоумышленники как правило действуют «по скриптам», т.е. заранее продуманному сценарию коммуникации с клиентом, выстраивая диалог путем «запугивания или манипулирования» жертвой. Иногда используются элементы шантажа – от личных угроз до разрушения деловых и профессиональных связей.
Вопрос. Получается, что источником основных угроз для банков выступает собственный персонал? Какие мотивы движут персоналом банков и в чем основная причина утечки «персональных данных» клиентов?
Исходя из своего многолетнего опыта во внутреннем аудите и финансовых расследованиях, могу сказать, что мотивы для совершения мошеннических действий достаточно разнообразны. Начиная от личной финансовой выгоды, мести, до самой банальной причины – выполнения «бизнес показателей» для получения ежемесячного бонуса. Для читателя поясню, что в большинстве банков для операционных сотрудников существует система KPI, к которой привязан план по продаже «банковских продуктов» (кредиты, депозиты, банковские карты, страховые и инвестиционные продукты и пр.) Невыполнение плана продаж, автоматически лишает сотрудника ежемесячной прибавки к зарплате, а иногда и создает причину для его увольнения. Поэтому сотрудники заранее «мотивированы» выполнить этот план любой ценой. В ход идут такие приемы, как «дробление кредитов или депозитов», выдаваемых одному и тому же лицу, закрытие и одновременное открытие счетов одному и тому же клиенту, навязывание ненужных продуктов и сервисов. В зону особого риска попадают категории «клиентов преклонного возраста», «инвалиды», лица, находящиеся под социальной опекой. Именно эти клиенты наиболее часто становятся жертвами мошенников. В научной литературе даже существует такой термин «риски банковской инициации», когда их возникновение непосредственно связано с действиями самого банка. Поэтому перед аудитором всегда стоит задача – понять и разобраться в мотивах «персонала», выяснить что движет сотрудником при совершении мошеннических действий. Такая работа позволяет не только понять причину возникновения риска, но и предотвратить его в будущем.
Вопрос. Почему именно в период пандемии коронавируса так обострилась ситуация с мошенничеством в банковской сфере? Ведь пик количества пострадавших клиентов пришелся именно на 2020-2021 год, об этом свидетельствуют данные Банка России и правоохранительных органов. В чем причина?
В период активной фазы пандемии большинство клиентов оказались фактически «отрезанными» от возможности посещения офисов, все операции проводились в удаленном формате. Если речь идет, а более активной части населения – молодой аудитории, то для них привычнее использование он-лайн банкинга, нежели посещение операционного офиса банка. В то время, как для клиентов более «преклонного возраста» – пенсионеров, удаленный формат работы оказался испытанием на прочность. Именно эта категория клиентов и входит в число наиболее пострадавших от действий мошенников. Зачастую мошенники используют «подменные банковские номера», перезванивая клиентам от имени банков, дезориентируют их, и в конечном счете, заставляют перевести деньги на свой счет. Поэтому отвечая на ваш вопрос, считаю, что «удаленный формат» работы банковских структур и сервисов стал одной из основных причин всплеска мошенничества в период пандемии – COVID-19.
Вопрос. Спасибо. Существуют ли какие то инструменты в борьбе с внутренним мошенничеством в банках? Как на Ваш взгляд можно предотвратить «наплыв» звонков из «черных колл-центров»? Может быть Вы сможете дать какие то рекомендации нашим читателям, как вести себя с «мошенниками» и что необходимо предпринять в первую очередь.
На мой взгляд, не существует каких-либо универсальных инструментов в борьбе с внутренним мошенничеством. Однако я хочу остановиться на нескольких концепциях информационной безопасности, которые должны лечь в основу работы любого банка. В первую очередь, для персонала связанного с обслуживанием клиентов должна действовать «концепция нулевого доверия», иными словами – банк обязан «знать своего работника», включая информацию о финансовых, имущественных, личных данных, которые могут «потенциально» привести к мошенническим или противоправным действиям, направленным на нарушение информационной безопасности. Во-вторых, в банках должна на постоянной основе функционировать система фрод-мониторинга для инцидентов внутреннего мошенничества, предполагающая настройку «профиля сотрудника» - возраст, стаж работы, финансовые обязательства, семейное положение и пр., что помогает выявлять недобросовестный персонал и отслеживать его работу на дистанционной основе. Например, излишне «закредитованный» сотрудник, несет потенциальный риск внутреннего мошенничества, поскольку мотивом выступает – погашение его финансовых обязательств.
Что касается Вашего вопроса о предотвращении наплыва звонков из «черных колл-центров», на мой взгляд, этот вопрос находится в законодательном поле действия операторов мобильной связи. Должен наконец заработать закон вменяющий ответственность операторов связи за подмену телефонных номеров, только силами банков эту проблему не решить.
Отдельно хочу остановиться на нескольких рекомендациях для клиентов, которых одолевают «телефонные мошенники». Во–первых, для «пожилых категорий граждан» должна на постоянной основе действовать система телефонного «анти-спама», эту систему можно подключить самостоятельно через оператора мобильной связи. Ее постоянное использование, позволяет блокировать нежелательные звонки и не вступать в контакт с потенциальными мошенниками. Во-вторых, даже если на телефон поступил звонок из банка и Вы не уверены в личности звонящего вам абонента, не стоит вступать в ним в диалог. Необходимо записать контактные данные – сотрудника банка (Ф.И.О., должность и телефон), после чего самостоятельно связаться с колл-центром этого банка и уточнить вопрос по которому к Вам обращался сотрудник. Такая проверка поможет избежать нежелательного контакта с потенциальным «мошенником». В-третьих, нельзя разглашать по телефону свои персональные данные, даже если сотрудник банка настоятельно просит Вас подтвердить контактную информацию о себе. Банк знает всю информацию о своих клиентах, особенно когда речь идет о номере банковской карты и ее реквизитах. Ну и наконец, если Вам поступают постоянные угрозы от псевдо «сотрудников банков» или «службы безопасности», запишите их контактный номер и оформите претензию на имя Банка. Это можно сделать посетив офис банка или через официальный сайт кредитной организации. Излишняя бдительность поможет Вам сохранить ваши деньги и предотвратить риск мошенничества в отношении Ваших персональных данных.
Хочу поблагодарить Вас за это интервью и надеюсь эта информация будет полезна для наших читателей!